Nieuws

FTC: TRUSTe privacyzegel misleidde consumenten

dinsdag 18 november 2014, 11:32 door Redactie, 5 reacties

Het TRUSTe privacyzegel dat aangeeft hoe websites en bedrijven met de privacy van hun bezoekers omgaan heeft consumenten misleid, zo stelt de Amerikaanse toezichthouder FTC. Het privacyzegel wordt door TRUSTe uitgereikt aan websites die zich aan bepaalde privacyregels houden.

Van 2006 tot januari 2013 werd de hercertificering van het privacyzegel bij websites die het zegel gebruikten in meer dan 1.000 gevallen niet uitgevoerd, terwijl TRUSTe op de eigen website stelt dat gecertificeerde websites elk jaar opnieuw worden gecertificeerd. Daarnaast was TRUSTe al sinds 2008 geen non-profitorganisatie meer, maar werden bedrijven die het privacyzegel gebruikten en waarin stond dat TRUSTe een non-profit was niet verplicht dit aan te passen.

TRUSTe en de FTC hebben nu een schikking getroffen. Het bedrijf mag geen misleidende informatie over het certificeringsproces en de bedrijfsstatus meer verspreiden en moet daarnaast 200.000 dollar betalen.

"Nederland host bijna 18% van alle malware"

MasterCard en Visa stoppen met wachtwoord bij online betalen

Reacties (5)

18-11-2014, 12:41 door Erik van Straten

Op dezelfde wijze moet er ook maar eens naar thuiswinkel.org gekeken worden, want dat certificaat maakt ook niet altijd waar wat het claimt. En dus kunnen consumenten erdoor worden misleid.

Een voorbeeld dat ik in enkele minuten kon vinden, uit http://www.vliegwinkel.nl/nieuwsbrief (merk op dat de URL begint met http i.p.v. met https en de webbrowser dan, vanzelfprekend, geen slotje toont):

Inschrijven voor nieuwsbrief
[...]
Personal details
  Your Email Address:
  Your firstname:
Your lastname:
  Your home airport:

Uit https://www.thuiswinkel.org/leden/vliegwinkel.nl/certificaat:

Pagina’s waarop persoonsgegevens getoond of ingevuld moeten worden, zijn tenminste met een SSL-certificaat beveiligd (in de adresbalk van de browser te zien aan: HTTPS en/of slotje onder of boven aan de webpagina).

Nu zou het hier natuurlijk om een incidentje kunnen gaan dat nog maar heel kort bestaat, maar daar lijkt geen sprake van: https://www.security.nl/posting/31845/vliegwinkel_nl+onbeveiligd%3F.

18-11-2014, 13:09 door Anoniem

Merk op dat het tonen van een formulier zonder voor-ingevulde persoonsgegevens met de opdracht daarop gegevens
in te vullen niets zegt over het beveiligd versturen van die gegevens. Het kan best zijn dat de post verwijst naar
een https url en de gegevens dus wel degelijk versleuteld verzonden worden (is niet zo op deze voorbeeldpagina,
maar deze denkfout wordt vaak gemaakt)

Het is zelfs zo dat als het formulier op een https pagina met slotje staat, het posten nog best onversleuteld kan gebeuren.
Het slotje op een formulier pagina is dan ook misleidend. Het bepaalt niet wat er met je ingevulde gegevens gaat gebeuren,
nee het bepaalt hoe het formulier naar jou toe gekomen is!

18-11-2014, 13:41 door Anoniem

Helaas zijn er ook bonus certificeringen die er schijnbaar alleen maar toe dienen om mensen geld uit hun zak te kloppen. Is gewoon jammer, maar zolang erkennen zijn die hier business in zien en er ook mensen zijn die er in trappen, zal het blijven bestaan

18-11-2014, 16:23 door Erik van Straten

Door Anoniem: Merk op dat het tonen van een formulier zonder voor-ingevulde persoonsgegevens met de opdracht daarop gegevens
in te vullen niets zegt over het beveiligd versturen van die gegevens. Het kan best zijn dat de post verwijst naar
een https url en de gegevens dus wel degelijk versleuteld verzonden worden (is niet zo op deze voorbeeldpagina,
maar deze denkfout wordt vaak gemaakt)

Maar het kan ook best zo zijn dat ze niet versleuteld worden verzonden, zoals op deze site het geval is.

Maar het kan ook best zo zijn dat ze niet versleuteld worden verzonden, ondanks dat de webserver wel om een https post o.i.d. vraagt. Als er namelijk sprake is van een MitM aanval, zal de gebruiker de gegevens onversleuteld naar de aanvaller sturen. Die aanvaller kan er voor kiezen om ze door te zetten naar de webserver, al dan niet gewijzigd (via https, maar daar heeft de gebruiker niets meer aan), of ze geheel te droppen.

Precies HIEROM is het essentieel dat het slotje getoond wordt op het moment dat je gegevens invult. Doe je dat niet dan is er sprake van flauwekulbeveiliging, die een eindgebruiker niet zelf kan controleren. Gelukkig heeft thuiswinkel.org dit correct verwoord. Alleen wel jammer dat ze certificaten verlenen en verlengen aan dit soort prutsersites.

18-11-2014, 16:25 door Anoniem

Als je zo'n mixed content pagina gebruikt, is het eenvoudig voor een aanvaller om de browser wijs te maken dat de gegevens onversleuteld verstuurd moeten worden.

Peter

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer